Dacă ai plug-in cu ”îmi place” de la Facebook, vei fi operator asociat cu el

Plug-in pe site Facebook operator asociat

Dacă alegi să integrezi un plug-in pe site, ai calitatea de operator asociat cu respectiva companie

Cu toate astea, calitatea de operator se oprește doar la colectare propriu-zisă, nu și la prelucrarea ulterioară a datelor de către plug-in-ul respectiv

Te gândești să pui un plug-in pe site? Răspunzi parțial ca operator asociat.

Să zicem că te decizi să pui pe site-ul tău un plug-in/cod de la Facebook pentru ca persoanele să interacționeze cu postările de pe Facebook sau să îți dea like la pagină. Sau să pui un WP-forms pentru a colecta răspunsuri la sondaje sau adrese de e-mail. Sau integrezi plug-in-ul de la Mailchimp ca să spamezi trimiți mesaje comerciale persoanelor.

În primă fază, vei răspunde ca operator asociat cu compania care a făcut respectivul plug-in. Însă nu vei răspunde și pentru prelucrarea ulterioară pe care această companie o face cu datele personale.

Mare atenție la ce plug-in-uri pui pe site și cum gestionează acestea datele

Hotărârea Curții de Justiție a Uniunii Europene de astăzi (despre care scrisesem încă din ianuarie când au fost publicate concluziile Avocatului General) în cauza Cauza C‑40/17 ( Fashion ID GmbH & Co. KG împotriva Verbraucherzentrale NRW e.V. , intervenient Facebook Ireland Limited) afirmă că aceste site-uri sunt responsabile în comun pentru prelucrarea inițială a datelor – și trebuie fie să obțină consimțământul informat de la vizitatorii site-ului înainte de transferul datelor pe Facebook, fie să poată demonstra un interes legitim pentru prelucrarea acestor date.

De ce ar trebui să mă intereseze?

Hotărârea este semnificativă, deoarece, așa cum pare în prezent, butoanele ”Like” ale Facebook transferă datele personale în mod automat, atunci când o pagină web se încarcă – fără ca utilizatorul să fie nevoit să interacționeze cu plug-in-ul – ceea ce înseamnă că dacă site-urile web se bazează pe vizitatori ”care consimt” ca datele lor să fie partajate cu Facebook, probabil că va trebui să schimbe modul în care funcționează plug-in-ul pentru a se asigura că nicio informație nu este trimisă către Facebook înainte ca vizitatorii să fie întrebați dacă doresc ca navigarea lor să fie urmărită de gigantul adtech.

Și asta este valabilă pentru orice fel de plug-in, nu numai pentru Facebook.

Totuși, în ziua de azi e greu să ratezi un buton de „like” al lui Facebook pe vreo pagină – toată lumea le folosește. Doar că majoritatea utilizatorilor nu știu că Facebook se folosește de respectivele informații pentru a vedea pe unde mai navighează cititorii și astfel să personalizeze anunțurile publicitare.

Anul trecut, Facebook a declarat parlamentului britanic că între 9 aprilie și 16 aprilie butonul „Like” a apărut pe site-uri web de 8,4 milioane ori, în timp ce butonul de ”Share” a apărut pe 931K sie-urilor. (Facebook a recunoscut, de asemenea că există alte 2,2 milioane de alte instrumente de urmărire pe care le folosește pentru analizare și colectarea activității de navigare non-Facebook – numită Facebook Pixel – fiind încorporat invizibil pe site-uri web ale unor terțe părți).


Ultimele postări din GDPR:


Cazul Fashion ID este anterior introducerii cadrului actualizat de confidențialitate al UE, GDPR, care întărește în continuare regulile privind obținerea consimțământului – ceea ce înseamnă că trebuie să fie specific, informat și exprimat în mod liber.

Decizia CJEU de astăzi urmează și o altă hotărâre în urmă cu un an, într-un caz legat de paginile de fani Facebook, când instanța a avut o viziune largă a responsabilităților de confidențialitate din jurul platformelor – spunând că atât administratorii paginilor de fani, cât și platformele gazdă ar putea fi operatori de date. Deși a mai spus că un control în comun nu implică neapărat o responsabilitate egală pentru fiecare parte.

modele formulare GDPR online
Avocatoo GDPR magazin

În ultima decizie, CJUE a încercat să atragă anumite limite în ceea ce privește responsabilitatea comună, constatând că un site web în care este încorporat butonul Facebook Like nu poate fi considerat un operator de date pentru orice prelucrare ulterioară, adică după ce datele au fost transmise către Facebook Irlanda (operatorul de date pentru utilizatorii europeni Facebook).

Responsabilitatea comună acoperă în mod specific doar colectarea și transmiterea datelor din plug-in-ul Facebook Like către Facebook Irlanda.

Ce trebuie să ținem minte este că atunci când integrăm un plug-in pe un site, răspunderea noastră se oprește la colectarea și transmiterea acelor informații. Mai departe, răspunderea pică pe respectivul plug-in.

Într-o declarație oferită TechCrunch de către Facebook, aflăm că:

Pluginurile site-ului web sunt caracteristici comune și importante ale Internetului modern. Salutăm claritatea pe care decizia de astăzi o aduce atât site-urilor web, cât și furnizorilor de pluginuri și instrumente similare. Analizăm cu atenție decizia instanței și vom colabora strâns cu partenerii noștri pentru a ne asigura că aceștia pot continua să beneficieze de pluginurile noastre sociale și de alte instrumente de afaceri, în conformitate cu legea.
Jack Gilbert, Facebook

Compania a spus că ar putea face modificări la butonul Like pentru a se asigura că site-urile care îl utilizează sunt în măsură să respecte GDPR-ul Europei.

Facebook subliniază, de asemenea, că alți giganti tehnologici, cum ar fi Twitter și LinkedIn, implementează plug-in-uri sociale similare – astfel se sugerează că hotărârea CJUE se va aplica și altor platforme sociale, precum și altor mii de site-uri web din întreaga UE, unde există aceste tipuri de plug-in-uri.

Care e implicația practică?

Site-urile cu butonul ”Like” (sau un alt instrument similar) trebuie să se asigure că sunt suficient de transparente față de vizitatori și trebuie să se asigure că au o bază legală pentru transferul datelor personale ale utilizatorului (de exemplu, doar adresa IP a utilizatorului și alte date stocate pe dispozitivul utilizatorului prin cookie-uri Facebook) către Facebook.

Dacă baza ta legală este consimțământul, atunci va trebui să obții consimțământul înainte de a implementa butonul Like pentru ca acesta să fie valabil – în caz contrar, vei fi efectuat transferul înainte ca vizitatorul să fi consimțit.

Dacă te bazezi pe interese legitime atunci va trebui să faci o evaluare a intereselor legitime și să o fi ținut la dosar (pentru ziua în care un autoritate de reglementare cere să o vadă) și va trebui să ai un mecanism prin care un vizitator al site-ului să se poată opune transferului de date (ceea ce e destul de greu).

Evaluează corect interesul legitim

Te bazezi pe interes legitim ca temei pentru prelucrare? Fă-ți o evaluare corectă și prelucrează datele legal, evitând amenzile.

Revizuiește-ți nota de informare

După hotărârea de astăzi, toți operatorii de site-uri web care introduc plug-in-uri terțe (cum ar fi butoanele Facebook „Like”) în site-urile lor web trebui să reevalueze cu atenție conformitatea lor cu GDPR.

În special, trebuie să verifici dacă politica ta de confidențialitate acoperă operațiunile de prelucrare a datelor care implică colectarea și transmiterea datelor personale ale vizitatorilor prin intermediul unor plug-in-uri terțe. Multe dintre politicile de astăzi sunt puțin probabil să acopere aceste operațiuni.

Squaremetrics are implementată o politică foarte bună pe partea asta:

Operatorii site-urilor web trebuie, de asemenea, să evalueze care este baza legală adecvată pentru colectarea și transmiterea datelor cu caracter personal prin intermediul plugin-urilor încorporate pe site-urile lor web și, dacă se aplică consimțământul, ar trebui să se asigure că obțin acordul utilizatorului înainte de colectarea datelor, care se poate dovedi adesea provocator în practică. În această privință, utilizarea casetelor de selectare marcate în prealabil nu este recomandabilă (checkbox-urile prebifate, despre care am scris aici), întrucât tinde să fie considerată insuficientă pentru îndeplinirea criteriilor de aprobare valabile în temeiul GDPR (citește aici articolul nostru în detaliu despre casete pre-bifate).

Poza Tobias Dziuba de pe Pexels